非正規(guī)公共熱點中超兩成存風險:蹭網(wǎng)需謹慎

相關專題: WiFi wifi WIFI 風險 風向

    章蔚瑋

 

  WiFi網(wǎng)絡安全問題一直引人關注,在今年央視3.15晚會上,網(wǎng)絡工程師演示了釣魚WiFi是如何竊取用戶信息的。近日,公共WiFi的問題再度引起外界關注,一份名為《中國一線城市WiFi安全與潛在威脅調查研究報告》中稱,在北京、上海、廣州三地采集的近7萬個WiFi熱點中,直接為攻擊而架設的高危熱點占到12%,其中在非運營商和政府提供的第三方熱點中,帶有攻擊性的WiFi熱點超過23%。在業(yè)內人士看來,實際情況或許更糟。

 

  不僅有釣魚還有寄生蟲

 

  發(fā)布這份調研報告的是上海安全團隊襲雨團,團隊負責人姚威對《IT時報》記者介紹,他們是通過人工攜帶、汽車安裝4G路由器、MAC采集工具、WiFi安全測試器和黑盒攻擊測試器等進行的測試。

 

  此前,獵豹也曾發(fā)布類似報告,對全國各地8萬個公共WiFi熱點進行抽樣調查,其中21%的公共WiFi熱點存在安全風險。而今年3360公司發(fā)布的 2015中國WiFi安全綠皮書》中披露,國內80%WiFi能在15分鐘內被輕易破解,平均每天有約3.06%WiFi會遭遇DNS劫持攻擊,4.97%WiFi會遭遇ARP攻擊。

 

  在這份報告中,有兩組數(shù)據(jù)值得關注:在北京、上海和廣州的測試公共區(qū)域中,官方提供的熱點數(shù)量不足50%。其中,上海地區(qū)官方提供的熱點數(shù)量占到采集熱點總數(shù)的47.5%, 北京只有24%,廣州地區(qū)這一比例更低;剩下超過一半的非官方熱點中,具有明確攻擊意圖的寄生蟲熱點和釣魚熱點數(shù)量超過1/5。

 

  除了之前被多次報道的釣魚熱點外,寄生蟲熱點、公然勒索信息熱點首次出現(xiàn)在公眾視野。根據(jù)襲雨團的調查,寄生蟲熱點在第三方熱點中的比例高達14%。團隊負責人姚威解釋,寄生蟲熱點攻擊正規(guī)WiFi熱點,制造出虛假的登錄頁面,以此獲取登錄用戶的個人信息。另一名安全人士介紹,寄生蟲熱點隱蔽性和欺騙性高,好比銀行的ATM機上安裝了讀卡器。根據(jù)襲雨團在上海進行的調查,已經找到了存儲用戶信息的寄生蟲熱點。

 

  另一種常見但不易被察覺的危險熱點叫公然勒索信息熱點,這也被定義為高危熱點。用戶在連入這些熱點前,會被要求填寫身份證、手機號等個人信息,并且無需密碼就可以連上網(wǎng)絡。而登錄正規(guī)的WiFi熱點時一般只需填寫手機號,無需登記身份證信息。借助這種熱點不法分子在短時間內就能獲得大量用戶信息。

 

  非法WiFi能讓iPhone變磚頭

 

  面對這么多高危熱點,普通用戶是否有能力判斷? “目前唯一識別WiFi安全與否的有效方式就是基于坐標、設備MAC地址進行綜合評判。”在無線安全研究團隊RadioWar創(chuàng)始人營智敏看來,目前對于普通用戶,很難從單一角度判斷某個WiFi熱點是否安全可靠。

 

  根據(jù)襲雨團的報告,他們選取的檢測地點大多集中在人口密集的商圈,包括在上海的陸家嘴、中山公園等23個測試點,在這些地區(qū)中有一批不設密碼可直接連入的免費WiFi。同時,他們發(fā)現(xiàn)官方熱點也很容易被“黑客”盯上,制造為寄生熱點。

 

  這些高危熱點帶來的風險超出想象,用戶連接上后會面臨賬戶泄露的危險。 “連接上這些WiFi后,雖然你沒有在使用網(wǎng)銀,但是網(wǎng)銀類應用如果一直在后臺運行,那你的賬戶就是危險的!痹跔I智敏看來,在不安全WiFi網(wǎng)絡下,手機的App可能會被植入惡意程序,進而產生安全風險。

 

  更可怕之處在于,用戶手機中的郵件設置為非法WiFi的入侵提供了便利。用戶可以打開自己的手機,進入設置-郵件—賬戶-高級選項,看看其中SSL選項是否打開?有研究人士發(fā)現(xiàn),目前市面上銷售的手機大部分移動端郵件服務默認關閉SSLSSL的功能是在訪問郵件服務前經過證書對比形成雙向加密通道,打開SSL后郵箱自動提交的賬號密碼會以加密形勢傳輸。若將SSL關閉,移動端的安全軟件還沒檢測連入WiFi是否安全,郵箱就會自動提交賬號密碼,攻擊者會就此得手。上述研究人士算了這樣一筆賬:“如果每個WiFi有五個用戶連入,每個用戶一個郵箱,至少有五個賬號密碼被泄露,若其中三個是Apple ID郵箱,就可能有三臺iPhone被鎖導致勒索,如果每臺設備解鎖勒索500元,最起碼賺15004500元甚至更多。”

 

  未來從何入手

 

  姚威透露,他們目前正和相關部門商討解決方案,希望能從熱點實名制、熱點管理責任制等方面入手,來完善目前公共WiFi管理上存在的空白。在技術操作層面,他們希望能鼓勵更多公共WiFi提供商公布自己設備MAC地址作為安全軟件比對的驗證信息,這相當于每個公共WiFi會有一套指紋,進行識別。

 

  在營智敏看來,對于普通用戶來說,可以做的是不要過度依賴WiFi,并且在訪問WiFi時,把不必要的服務、App及時關閉。

 

  1111日,記者實地在中山公園、人民廣場等商圈實地體驗,測試連接了十多個WiFi熱點,發(fā)現(xiàn)近一半的WiFi是無需密碼就可免費登錄的WiFi熱點。對于普通用戶來說,類似無法明確來源的免費WiFi需要謹慎連入。


微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網(wǎng)絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網(wǎng)白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息